此处编写的存储过程当前将参数连接到查询:
SELECT *
FROM Names
WHERE Name = ' || prmName || '
ORDER BY ' || prmSortField
是否可以在存储过程中参数化此查询?可能喜欢:
query = 'select * From Names Where Name = @name Order By ' || prmSortField
call(query, prmName)
注意:
如果您想知道我们为什么这样做,我们的 sp 有两个常用参数:sortFieldIndex
和sortDirection
. 由于我们不能直接参数化这些,查询是动态生成的。但是其他参数使查询打开以进行注入。所以我正在寻找一种方法来参数化一些参数。